Buscar este blog

jueves, 21 de febrero de 2013

Y el mejor keylogger es...

Hace unos días mientras leía el recomendable post sobre "Ataques de arranque en frío", me vino a la mente una situación que seguro a más de uno se le ha pasado por la cabeza, o lo ha vivido en primera persona sin llegar a pensar en las posibles consecuencias.
Una tarde cualquiera, estamos frente a nuestro portátil y nos llega el compañero de turno pidiéndonos que necesita acceder a nuestro ordenador, para poder descargar desde su correo personal, el documento que debe de imprimir de manera urgente, a lo que antes de proseguir lanza la típica pregunta de - compañero desconfiado:
"Pero desactiva el keylogger del portátil eh?" 
A lo que le respondemos con un: "jejeje, claro estate tranquilo..."
Pero ya sabemos o vamos a ver, que esto en seguridad es un error, no se puede detener el keylogger más exacto y preciso que tenemos en nuestro sistema, el propio sistema operativo a través de las distintas memoria volátil con las que trabaja. 
Ya sabemos que cualquier información que estamos manejando y concretamente nuestras "keys/claves/passwords/etc" se encuentran almacenadas en la memoria del proceso que la utiliza, la RAM, Pagefile, entre otras memorias volátiles del sistema.
Como parte de esto, y tomando como ejemplo el caso anteriormente citado, el proceso de obtención de credenciales de nuestro compañero, será muy sencillo a través del volcado del proceso del navegador y un simple string para identificar las credenciales. Con el fin de que se vea más claro, vamos a proceder a mostrar el proceso paso a paso.
1.- Acceso / autenticación en el website por parte del usuario
(Una vez se ha loggueado y realizado las acciones que quería, pasamos a la parte de análisis)
2.- Identificar el PID del proceso del navegador con pslist (sysinternals)
# pslist

3.- Volcado del proceso del navegador con procdump (systinternals)
# procdump -ma 3292 -o dump_iexplorer.dmp

4.- Strings sobre el volcado del iexplorer 
# strings dump_iexplorer.dmp > dump_iexplorer.txt
5.- Buscar en el fichero generado de strings dump_iexplorer.txt - las credenciales, en este caso se encuentra en la línea de login=****

Con esto espero, que seamos un poco más conscientes a la hora de ingresar nuestras credenciales en el sistema de algún compañero... ^un poco más de modo paranoic



Fuente: Mitrein
Tags: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)